如何設定商務用 Skype 內部部署以使用混合式新式驗證

本文適用於 Microsoft 365 企業版和 Office 365 企業版。

新式驗證是一種身分識別管理方法,可提供更安全的使用者驗證和授權、適用于內部部署商務用 Skype伺服器和內部部署Exchange伺服器,以及商務用 Skype混合式分割網域。

重要

您想要深入瞭解新式驗證 (MA) ,以及為什麼您可能偏好在公司或組織中使用它? 如需概觀,請參閱 這份檔 。 如果您需要知道 MA 支援哪些商務用 Skype拓撲,請參閱這裡說明!

開始之前,我使用下列詞彙:

  • 新式驗證 (MA)

  • 混合式新式驗證 (HMA)

  • Exchange內部部署 (EXCH)

  • Exchange Online (EXO)

  • 商務用 Skype內部部署 (SFB)

  • 商務用 Skype Online (SFBO)

此外,如果本文中的圖形具有呈現灰色或暗灰色的物件,表示以灰色顯示的專案 不會 包含在 MA 特定組態中。

閱讀摘要

此摘要會將程式細分為可能在執行期間遺失的步驟,而且適合讓整體檢查清單追蹤您在程式中的位置。

  1. 首先,請確定您符合所有必要條件。

  2. 由於商務用 Skype和Exchange有許多必要 條件,請 參閱預先重新設定檢查清單的概觀文章。 在開始本文中的任何步驟 之前 ,請先執行此動作。

  3. 收集檔案中所需的 HMA 特定資訊,或OneNote。

  4. 如果 EXO (尚未開啟) ,請開啟新式驗證。

  5. 如果 SFBO (尚未開啟新式驗證,請) 開啟新式驗證。

  6. 開啟內部部署Exchange混合式新式驗證。

  7. 開啟內部部署商務用 Skype混合式新式驗證。

這些步驟會開啟適用于 SFB、SFBO、EXCH 和 EXO 的 MA ,也就是可以參與 SFB 和 SFBO (HMA 設定的所有產品,包括 EXCH/EXO) 的相依性。 換句話說,如果您的使用者是在混合式 (EXO + SFBO、EXO + SFB、EXCH + SFBO 或 EXCH + SFB) 的任何部分中建立信箱,您完成的產品看起來會像這樣:

混合 6 Skype商務用 HMA 拓撲在所有四個可能的位置都有 MA。

如您所見,有四個不同的位置可以開啟 MA! 為了獲得最佳的使用者體驗,建議您在這四個位置中開啟 MA。 如果您無法在所有這些位置中開啟 MA,請調整步驟,讓您只在環境所需的位置中開啟 MA。

如需支援的拓撲,請參閱搭配MA 商務用 Skype的支援性主題

重要

在開始之前,請仔細檢查您是否已符合所有必要條件。 您會在 混合式新式驗證概觀和必要條件中找到該資訊。

收集您需要的所有 HMA 特定資訊

在您已仔細檢查是否符合使用新式驗證的 必要條件 之後 (請參閱上述) 附注,您應該建立檔案來保存您在後續步驟中設定 HMA 所需的資訊。 本文中使用的範例:

  • SIP/SMTP 網域

    • 例如: contoso.com (與Office 365) 同盟
  • 租使用者識別碼

    • GUID,代表您 contoso.onmicrosoft.com) 登入時 (Office 365租使用者。
  • SFB 2015 CU5 Web 服務 URL

部署的所有 SfB 2015 集區都需要內部和外部 Web 服務 URL。 若要取得這些資訊,請從 商務用 Skype 管理命令介面執行下列命令:

Get-CsService -WebServer | Select-Object PoolFqdn, InternalFqdn, ExternalFqdn | FL

如果您使用Standard Edition伺服器,則內部 URL 會是空白的。 在此情況下,請使用集區 fqdn 作為內部 URL。

開啟 EXO 的新式驗證

請遵循此處的指示:Exchange Online:如何啟用您的租使用者進行新式驗證。

開啟 SFBO 的新式驗證

請遵循此處的指示:商務用 Skype Online:啟用您的租使用者進行新式驗證

開啟內部部署Exchange混合式新式驗證

請遵循此處的指示:如何設定內部部署Exchange Server使用混合式新式驗證

開啟內部部署商務用 Skype混合式新式驗證

在 Azure Active Directory 中新增內部部署 Web 服務 URL 作為 SPN

現在,您必須執行命令,將先前收集 (的 URL 新增) 為 SFBO 中的服務主體。

注意

服務主體名稱 (SPN) 識別 Web 服務,並將它們與安全性主體 (相關聯,例如帳戶名稱或群組) ,讓服務可以代表授權的使用者採取行動。 向伺服器驗證的用戶端會利用 SPN 中包含的資訊。

  1. 首先,使用這些指示連線到 Azure Active Directory (Azure AD) 。

  2. 在內部部署環境中執行此命令,以取得 SFB Web 服務 URL 的清單。

    請注意,AppPrincipalId 開頭為 00000004 。 這會對應至 商務用 Skype Online。

    記下 (和螢幕擷取畫面,以供稍後比較) 此命令的輸出,其中會包含SE和 WS URL,但大部分是由開頭為 00000004-0000-0ff1-ce00-000000000000/ 的 SPN 所組成。

    Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Select -ExpandProperty ServicePrincipalNames
    
  3. 例如,如果內部 部署的內部或 外部 SFB URL 遺失 (, https://lyncwebint01.contoso.com https://lyncwebext01.contoso.com) 我們必須將這些特定記錄新增至此清單。

    請務必將下列 範例 URL 取代為 [新增] 命令中的實際 URL!

    $x= Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000
    $x.ServicePrincipalnames.Add("https://lyncwebint01.contoso.com/")
    $x.ServicePrincipalnames.Add("https://lyncwebext01.contoso.com/")
    Set-MSOLServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
    
  4. 再次執行步驟 2 中的 Get-MsolServicePrincipal 命令並查看輸出,以確認已新增您的新記錄。 將之前的清單或螢幕擷取畫面與新的 SPN 清單進行比較。 您也可以螢幕擷取畫面顯示記錄的新清單。 如果您成功,您會在清單中看到兩個新的 URL。 根據我們的範例,SPN 清單現在會包含特定 URL https://lyncwebint01.contoso.comhttps://lyncwebext01.contoso.com/

建立 EvoSTS 驗證服務器物件

在 商務用 Skype 管理命令介面中執行下列命令。

New-CsOAuthServer -Identity evoSTS -MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml -AcceptSecurityIdentifierInformation $true -Type AzureAD

啟用混合式新式驗證

這是實際開啟 MA 的步驟。 所有先前的步驟都可以事先執行,而不需要變更用戶端驗證流程。 當您準備好變更驗證流程時,請在 商務用 Skype 管理命令介面中執行此命令。

Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity evoSTS

驗證

啟用 HMA 之後,用戶端的下一次登入將會使用新的驗證流程。 請注意,只要開啟 HMA 就不會觸發任何用戶端的重新驗證。 用戶端會根據其擁有的驗證權杖和/或憑證存留期重新驗證。

若要在啟用 HMA 之後測試 HMA 是否正常運作,請登出測試 SFB Windows用戶端,並務必按一下 [刪除我的認證]。 再次登入。 用戶端現在應該使用新式驗證流程,而您的登入現在會包含「公司或學校」帳戶的 Office 365 提示,如用戶端連絡伺服器並登入您之前所見。

您也應該檢查 「OAuth 授權單位」商務用 Skype用戶端的「設定資訊」。 若要在用戶端電腦上執行此動作,請在您以滑鼠右鍵按一下 [Windows 通知] 匣中的商務用 Skype圖示時按住 CTRL 鍵。 按一下出現功能表中的 [組態 資訊 ]。 在桌面上出現的 [商務用 Skype 組態資訊] 視窗中,尋找下列專案:

使用新式驗證的商務用 Skype用戶端設定資訊會顯示 的 https://login.windows.net/common/oauth2/authorize Lync 和 EWS OAUTH 授權單位 URL。

您也應該按住 CTRL 鍵,同時以滑鼠右鍵按一下Outlook用戶端的圖示, (在 [Windows通知] 匣中) ,然後按一下 [線上狀態]。 針對代表 OAuth 中所用持有人權杖的 AuthN 類型'Bearer * ',尋找用戶端的 SMTP 位址。

連結回新式驗證概觀

您需要知道如何為商務用 Skype用戶端使用新式驗證嗎? 我們在這裡有一些步驟:混合式新式驗證概觀,以及搭配內部部署商務用 Skype和Exchange伺服器使用它的必要條件